デジタルカレンダーは、デバイス上で最も安全なアプリのひとつに思えるかもしれませんが、新たな調査によると、強力で見過ごされがちな攻撃経路となりつつあります。
祝日、プロモーション、イベントリマインダーなどのために外部カレンダーを購読している数百万のユーザーが、今や乗っ取り可能な放棄されたドメインに知らず知らずのうちに接続している可能性があります。
攻撃者は「…有害なコンテンツを含む可能性のあるカレンダーファイル(URLや添付ファイルなど)を配信でき、便利なツールが予期せぬ攻撃経路に変わる」とBitsightの研究者は述べています。
Bitsightの研究者は、390以上のカレンダー関連ドメインをシンクホール化し、約400万台のiOSおよびmacOSデバイスからの毎日の同期トラフィックを観測しました。
これらのドメインはかつてスポーツイベントや祝日などの正規カレンダーをホストしていたため、ユーザーはその出所を疑うことがほとんどありません。
攻撃者がドメインを制御すると、URL、添付ファイル、またはソーシャルエンジニアリングの誘導を含む.icsファイルをカレンダーアプリに直接、静かにプッシュできます。
なぜカレンダーフィッシングは検知が難しいのか
従来のメールフィッシングとは異なり(ユーザーは見抜く訓練を受けていることが多い)、カレンダーを利用した攻撃は信頼と自動化を悪用します。
購読されたカレンダーは、デバイスがAccept: text/calendarヘッダーを使って定期的に更新をリクエストする原因となります。
もしドメインが悪意ある者の手に渡っていれば、攻撃者は細工したイベントを送り返すだけです。これには悪意のあるリンクやファイル、「セキュリティ警告」「Amazon通知」などの誤解を招くタイトル、あるいは詳細を隠す空白などが含まれます。
Bitsightの研究者は、これらの攻撃の背後にある2つの主要なインフラを特定しました:
- レガシーなbase64風のURIパターンと、数百のドメインで再利用されるフィンガープリントスクリプトの組み合わせ。
- 新しい「webcal」インフラでは、偽のCAPTCHAプロンプトのようなJavaScriptオーバーレイを使い、ユーザーに許可をクリックさせ、プッシュ通知や追加のカレンダー購読の権限を与えさせます。
多くのユーザーは、正規のWebサイトが侵害され、Baladaインジェクターキャンペーンに一致する高度に難読化されたJavaScriptが仕込まれたことで、これらの悪意あるドメインに誘導されました。
被害者から見ると、見慣れたページを読み込む前の通常のブラウザチェックのように見えますが、やがてカレンダーに悪意のあるイベントが現れ始めます。
攻撃者がカレンダーアクセスを収益化する方法
攻撃者が購読を制御できれば、デバイスに表示される内容も制御できます。Bitsightは、カレンダーイベントを武器化して以下のようなキャンペーンを観測しました:
- ユーザーをフィッシングページに誘導する。
- 住宅用プロキシとして機能する可能性のある悪意のあるVPNを宣伝する。
- ゲームやツールを装ったAPKダウンロードをプッシュする。
- ユーザーをさらに深い詐欺やマルウェアネットワークにリダイレクトするPDFを配信する。
一部の広告ネットワークは、iOS Pushやカレンダーベースのプロモーションを公然と販売しており、この攻撃経路を脅威アクターがユーザーのデバイスへのアクセスをレンタルできる商業エコシステムに変えています。
カレンダー攻撃はフィッシングを超える
カレンダーの脅威は、単なるフィッシング攻撃にとどまりません。
Zimbraの脆弱性(CVE-2025-27915)は、特定のオープンソーススイートで適切にサニタイズされていない.icsファイルがストアドXSSを引き起こし、ユーザーの操作なしに任意のJavaScript実行を可能にすることを示しました。
別の研究では、研究者たちがカレンダーイベントをLLMプロンプトインジェクション攻撃に利用できることを示しています。
悪意のあるイベントにジェイルブレイクプロンプトが含まれ、ユーザーがAIアシスタントに今後のイベントを要約するよう依頼すると、LLMが有害なアクションを実行する可能性があります。
大規模に行われれば、乗っ取られた購読を通じて数百万台のデバイスに瞬時に到達する可能性があります。
組織をカレンダー悪用から守るには
デジタルカレンダーは静かに高リスクな攻撃対象となり、期限切れや乗っ取られた購読を通じて脅威アクターにユーザーのデバイスへの直接的な経路を提供しています。
悪意のある.icsファイル、偽のブラウザチェック、毒されたリダイレクトが増加する中、従来のメール重視の防御ではもはや対応できません。組織は以下を含む多層的なアプローチを採用すべきです:
- 企業および個人デバイス上の見覚えのない、または不要なカレンダー購読を監査し削除する。
- カレンダーイベントもメール同様に扱う — 不明なリンク、添付ファイル、緊急のプロンプトはクリックしない。
- 特に高権限または高リスクの役割に対して、サードパーティカレンダー購読を管理する明確なポリシーを策定する。
- カレンダーベースのフィッシング、偽のブラウザチェック、ソーシャルエンジニアリング手法を含めたセキュリティ意識向上トレーニングを拡充する。
- 悪意のあるまたは期限切れの購読ドメインや疑わしい.ics同期リクエストをブロックするためにDNS、SWG、またはネットワークレベルのフィルタリングを利用する。
- 未知の構成プロファイルを制限し、自動購読プロンプトを可能な限り無効化し、MTD/MDM保護を強制することで、モバイルおよびエンドポイントデバイスを強化する。
- 異常なカレンダー同期の挙動、悪意のあるリダイレクト、注入されたJavaScriptや侵害されたWebサイトに一致するパターンを監視する。
カレンダーのセキュリティはもはやニッチな懸念ではなく、現代のサイバー防御に不可欠な要素です。
攻撃者が.ics購読や悪意のあるリダイレクトなど見落とされがちな経路を悪用し続ける中、組織は従来のメール重視のセキュリティを超えて保護を拡大しなければなりません。
カレンダーベースのサイバー攻撃の増加
かつてはちょっとした便利機能だったカレンダー購読が、メール防御を完全に回避するスケーラブルで低摩擦な攻撃チャネルへと進化しました。
脅威アクターが信頼ベースのシステムや自動化をますます悪用する中、組織は真の攻撃対象がどこにあるのかを再考する必要があります。
現代のセキュリティ戦略は、カレンダーを無害なユーティリティではなく、フィッシング、マルウェア、さらにはAIによる悪用の配信経路となり得るものとして扱うべきです。
一見無害に見える機能でも攻撃者に悪用され得ることを思い出させてくれるとともに、ゼロトラスト原則の重要性を強調しています。
